Applicatie-aanbieders kunnen voortaan gebruikers vanuit hun app direct doorverwijzen naar de CoronaCheck-app. Daarmee kunnen bezoekers bijvoorbeeld vanuit hun toegangsbewijs in een andere applicatie direct doorschakelen naar hun QR-code in CoronaCheck. Zo kunnen zij eenvoudiger aantonen dat zij volledig gevaccineerd of negatief getest zijn, of een herstelbewijs hebben van een eerdere coronabesmetting.
Gebruikers kunnen vanuit CoronaCheck met één klik terug naar de applicatie. Dat gebeurt volgens VWS via een zogenaamde universele link, waarmee het mogelijk is om vanuit één app direct naar een andere app doorverwezen te worden. Aanbieders van een app die direct willen linken naar CoronaCheck, moeten aan een viertal voorwaarden voldoen.
Valse toegangsbewijzen CoronaCheck
Minister Hugo de Jonge (VWS) heeft onlangs in een kamerbrief ook enkele vragen beantwoord over het gebruik van valse toegangsbewijzen via CoronaCheck. Die mogelijkheid was er als gevolg van een afgelopen juli datalek bij Testcoronanu, een testbedrijf met locaties in België en Nederland. Hierdoor kwamen ook gegevens van 60.000 geteste mensen op straat te liggen.
De Jonge spreekt over een ernstige tekortkoming in de informatiebeveiliging bij Testcoronanu. De toegang tot CoronaCheck was direct na het bekend worden van het lek voor de testaanbieder afgesloten, die in het afsprakenportaal op inactief gezet is. Testcoronanu heeft het lek ook gemeld bij de Autoriteit Persoonsgegevens. De minister stelt dat voor zover het valse toegangsbewijzen betreft, alleen de RTL-journalist die het lek bekendmaakte via de database van Testcoronanu valse toegangsbewijzen heeft verkregen.
Strengere controle
Volgens De Jonge wordt nu strenger gecontroleerd of er bij andere commerciële testbedrijven vergelijkbare datalekken zijn opgetreden of kunnen optreden. Er vond al periodieke monitoring plaats. Naast de monitoring wordt in het aansluitproces de penetratietest (de hackbaarheid) van de testaanbieder vanaf nu geverifieerd met een extra controle door VWS. De bewindsman benadrukt dat naar zijn mening de veiligheid en betrouwbaarheid van CoronaCheck niet in het geding heeft gebracht.
Tot slot stelt de bewindsman dat geen gevolgen heeft voor de acceptatie van een Digitaal Corona Certificaat (DCC) via CoronaCheck door andere landen. De al uitgegeven QR-codes bleven geldig.
Hoge eisen
Aan het ontwerp van de CoronaCheck-app en CoronaCheck Scanner-apps zijn hoge eisen gesteld op gebieden zoals privacy en security, zo schreef De Jonge eind juni in een Kamerbrief Stand van Zaken Covid 19. Om ervoor te zorgen dat de informatieveiligheid goed geborgd is, wordt deze intensief bewaakt en onderzocht. Hiertoe hebben de bedrijven Securify en SECWATCH in februari en maart al penetratietesten en een kwetsbaarheden-analyse uitgevoerd. De bevindingen toonden geen kritieke risico’s. De apps worden ook in de komende periode doorlopend bewaakt en onderzocht.
